Название: Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: ИгорьГ от 23 Февраля 2005, 00:46:16 Я несколько раз объяснял разным людям как именно получить сертификат ЭЦП бесплатно, как его пользовать потом в OutlookExpress и пр. Наиболее сложно дается тот факт, что для шифрования не надо получать сертификат самому. Но и это не беда, удается объяснить с третьего раза почти каждому.
После некоторого количества раз объяснений написал инструкцию, которую выложил вот здесь - http://www.glinka.ru/WOT/KnowHow (http://www.glinka.ru/WOT/KnowHow), есть также версия для печати в формате PDF http://www.glinka.ru/WOT/KnowHow/Howcert2.pdf (http://www.glinka.ru/WOT/KnowHow/Howcert2.pdf) (около 300Кб) Был бы рад услышать мнение компетентной аудитории, а также мнение всех тех, кому удастся не только прочесть, но и получить себе такой сертификат. Игорь Г. Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Yeoman от 23 Февраля 2005, 13:45:19 Добрый день Игорь!
Я прочитал вашу инструкцию. Если рассматривать ее именно как инструкцию, то на сколько я могу судить особых притензий к ней нет. Сертификат получить удастся. Если же рассматривать этот документ с технической и юридической точки зрения у меня есть замечания. Они Вам интересны? Если да то я готов опубликовать их здесь. Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: ИгорьГ от 23 Февраля 2005, 23:02:37 Большое спасибо за то, что Вы прочитали текст.
Да, конечно мне интересно и, я бы сказал точнее, - хотелось бы узнать, во-первых, Ваше мнение о документе и, во-вторых, замечания по тексту. Если они очень детальные, типа "на третьей странице в пятой строке ...", то их можно отправить мне по почте, чтобы не загружать форум. Я буду очень благодарен за любые замечания и предложения. Игорь Я не ставил галочку около "скрывать мой e-mail", но сам своего адреса не вижу, поэтому пишу его здесь - glinka@dol.ru при отправке в теме надо указать слово thawte (в любом месте темы) Игорь Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Yeoman от 02 Марта 2005, 15:09:55 Я буду постепенно выкладывать замечения. Начнем с главы 1 Описание проблемы.
1. "сертификат электронной цифровой подписи" - такого сертификата НЕТ и никогда не было. У вас дальше в тексте в одном месте используется правильный термин сертификат открытого ключа. Сертификат связывает открытый ключ и информацию о владельце соответсвующего закрытого ключа. Это если совсем коротко. 2. "Эта процедура (полностью) должна быть выполнена пользователем только один раз (в жизни) и не требует повторения при смене адреса электронной почты, компьютера или почтовой программы. Более того, выполнение ее вторично является в некотором роде нарушением правил" извините или вы говорите о чем то другом, или я чего то не понимаю- что один что другой тип сертификата при смене адреса электронной почты, потребуют перевыпуск сертификата. 3. "Эту процедуру не следует делать в Интернет-кафе или на чужом компьютере, так как в процессе получения сертификата будет сгенерирован закрытый ключ, который неизбежно сохранится на компьютере. Вы можете впоследствии переписать его, например, на дискету или флеш-память, однако, гарантированно удалить его с компьютера, на котором вы не владеете административными полномочиями, может не получиться. Если использовать собственный компьютер невозможно, то следует серьезно обдумать необходимость получения сертификата, так как его персонализация по отношению к Вам изначально оказывается под вопросом." в принципе все верно, но вы совсем забыли о такой вещи как отторгаемый носитель криптоматериала. Может быть он известен вам под названием токен или смарт-карта. 4. "Окно выбора криптографического алгоритма. По умолчанию Вам будет предложен самый сильный алгоритм «MS Enhanced Crypto… v.1.0». Можно выбрать его или более слабый вариант – «MS Standard Crypto …». Изначально предполагалось, что в некоторых странах особо сильное шифрование будет запрещено, а более слабое будет разрешено везде. Так что пользователи, которые захотят соблюдать требования закона, смогут выбирать тот метод, который соответствует закону их страны. В России закон «Об электронной цифровой подписи» фактически запрещает ее применение вовсе, поэтому и более слабый, и более сильный алгоритмы – вне закона. Можете выбирать любой. Нажмите Next " во первых никакой криптоалгоритм вы не выбираете в любом случае будет использован алгоритм RSA. Здесь предлагается выбор криптографического провайдера (СКЗИ). Разница в длинах ключей. Второе. ФЗ об ЭЦП не ограничивает вас в выборе скзи в данном случае. никак. Вы ж частное лицо. А то что эти сертификаты не являются юридически значимыми это и так понтяно. 5. "Будет задан дважды вопрос о том, доверяете ли Вы сайту, с которым сейчас работаете, чтобы он ставил сертификаты на Ваш компьютер. После двух утвердительных ответов Сертификат электронной цифровой подписи будет установлен на Вашем компьютер так, что Вы сможете его использовать во всех программах – Internet Explorer, Outlook Express, MS Outlook, MS Word, MS Excel, MS Visio и во многих других, где используется совместимая электронная цифровая подпись" Я может отстал от жизни, но я не помню чтобы ворд, или эксель умели проставлять подпись. Подобная вещь повилась только в 2003 версии их пакета, DRM называется, но и то там все совсем не просто. Пока это все. Чуть позже я выложу замечания по последней части. Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: ИгорьГ от 03 Марта 2005, 23:26:13 Цитировать 1. "сертификат электронной цифровой подписи" - такого сертификата НЕТ и никогда не было. У вас дальше в тексте в одном месте используется правильный термин сертификат открытого ключа. Сертификат связывает открытый ключ и информацию о владельце соответсвующего закрытого ключа. Это если совсем коротко. Я согласен с этим замечанием. В документе нет раздела с определениями терминов, и я полагаю, что такой раздел был бы неуместен. Поэтому стоило бы использовать термины, определенные где-то в известных документах. Я исправлю эту ошибку. Хотя в свое оправдание сошлюсь на некий документ, находящийся вот здесь, где того термина, что приводите Вы нет, а мой - есть - http://asozd.duma.gov.ru/intranet/kom23.nsf/I/1A547CC124B60403C3256F96002E6322?OpenDocument (http://asozd.duma.gov.ru/intranet/kom23.nsf/I/1A547CC124B60403C3256F96002E6322?OpenDocument) Цитировать 2. "Эта процедура (полностью) должна быть выполнена пользователем только один раз (в жизни) и не требует повторения при смене адреса электронной почты, компьютера или почтовой программы. Более того, выполнение ее вторично является в некотором роде нарушением правил" извините или вы говорите о чем то другом, или я чего то не понимаю- что один что другой тип сертификата при смене адреса электронной почты, потребуют перевыпуск сертификата. Здесь речь идет о процедуре регистрации индивида на сервере Thawte. Действительно, это не все те действия, которые описываются на в документе в качестве первого этапа. Конечно, перевыпуски сертификата, в том числе для разных адресов почты уместны. Я это исправлю. Цитировать 3. "Эту процедуру не следует делать в Интернет-кафе или на чужом компьютере, так как в процессе получения сертификата будет сгенерирован закрытый ключ, который неизбежно сохранится на компьютере. Вы можете впоследствии переписать его, например, на дискету или флеш-память, однако, гарантированно удалить его с компьютера, на котором вы не владеете административными полномочиями, может не получиться. Если использовать собственный компьютер невозможно, то следует серьезно обдумать необходимость получения сертификата, так как его персонализация по отношению к Вам изначально оказывается под вопросом." в принципе все верно, но вы совсем забыли о такой вещи как отторгаемый носитель криптоматериала. Может быть он известен вам под названием токен или смарт-карта. Мне это известно и оно (карточка RSA) у меня есть. Но писать об этом здесь мне показалось неуместным. Вся инструкция направлена на то, чтобы объяснить, как сделать это БЕЗ покупки чего-либо аппаратного, БЕЗ установки платного или бесплатного глючного софта, БЕЗ оплаты самого сертификата. Цитировать 4. "Окно выбора криптографического алгоритма. По умолчанию Вам будет предложен самый сильный алгоритм «MS Enhanced Crypto… v.1.0». Можно выбрать его или более слабый вариант – «MS Standard Crypto …». Изначально предполагалось, что в некоторых странах особо сильное шифрование будет запрещено, а более слабое будет разрешено везде. Так что пользователи, которые захотят соблюдать требования закона, смогут выбирать тот метод, который соответствует закону их страны. В России закон «Об электронной цифровой подписи» фактически запрещает ее применение вовсе, поэтому и более слабый, и более сильный алгоритмы – вне закона. Можете выбирать любой. Нажмите Next " во первых никакой криптоалгоритм вы не выбираете в любом случае будет использован алгоритм RSA. Здесь предлагается выбор криптографического провайдера (СКЗИ). Разница в длинах ключей. Второе. ФЗ об ЭЦП не ограничивает вас в выборе скзи в данном случае. никак. Вы ж частное лицо. А то что эти сертификаты не являются юридически значимыми это и так понтяно. на первое - Что именно человек выбирает на этом этапе зависит от того, что ему будет предложено. В некоторых случаях в появляющемся ниспадающем меню могут появиться алгоритмы DES или (даже!) ГОСТ. На второе - По поводу ограничений Закона на использование ЭЦП вообще (не только криптоалгоритма) - По смыслу статьи 3, то, что получается в результате взаимодействия с Thawte - электронная цифровая подпись (сертификат ключа подписи), в то же время, многие требования закона не соблюдаются, в частности, требования к удостоверяющему центру и к процессу получения сертификата ключа. Вопрос о том, является ли полученный сертификат ключа подписи иностранным (в смысле статьи 18) является открытым, так как по требованиям применимого в данном случае законодательства (ЮАР) указанные сертификаты не подлежат регистрации, а положения конвенции об отмене легализации документов не распространяются на сертификаты ключей подписей, так как они исходят не от должностных лиц государства. Поэтому, неправомерен вывод о том, что получение и применение такого сертификата не регулируется Законом об ЭЦП. В то же время, положения закона нарушаются. В совокупности, можно сделать вывод о нарушении закона стороной, по инициативе которой совершается действие, влекущее противоправные последствия (также как если кто-то толкает другуго в направлении зоны, вход в которую запрещен), то есть собственно нарушение производится выдающей сертификат стороной, но, так как эти действия производятся ею "вынужденно", под влиянием лица, запрашивающего сертификат, то и ответственность за нарушение порядка выдачи сертификата должен нести получатель сертификата. Этот вывод, если он должен быть сделан в суде, должен быть основан на документированных доказательствах, основное из которых - полученный сертификат, в этом случае не является документом и, следовательно, доказательством. Причина этой коллизии, по моему мнению, в том, что закон относится к числу основных, базисных законов, так как регулирует (должен регулировать) первичные понятия (подпись и документ), а написан без участия специалистов в фундаментальных областях права - конституционном праве и цивилистике. Цитировать 5. "Будет задан дважды вопрос о том, доверяете ли Вы сайту, с которым сейчас работаете, чтобы он ставил сертификаты на Ваш компьютер. После двух утвердительных ответов Сертификат электронной цифровой подписи будет установлен на Вашем компьютер так, что Вы сможете его использовать во всех программах – Internet Explorer, Outlook Express, MS Outlook, MS Word, MS Excel, MS Visio и во многих других, где используется совместимая электронная цифровая подпись" Я может отстал от жизни, но я не помню чтобы ворд, или эксель умели проставлять подпись. Подобная вещь повилась только в 2003 версии их пакета, DRM называется, но и то там все совсем не просто. Да, я имел в вид именно это. Возможность вставлять цифровые подписи в документы появилась начиная с Word XP, но требовала дополнительного модуля. Начиная с ворда 2003 она - стандартная фича. В Adobe Acrobat это функциональность тоже есть и, для использования сертификата, требует модуля (за деньги), а без сертификата - некий самопальный код цифровой подписи от адоба - бесплатно (включено в стандартную поставку). Цитировать Пока это все. Чуть позже я выложу замечания по последней части Жду с нетерпением. Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Yeoman от 04 Марта 2005, 00:16:29 Цитировать Хотя в свое оправдание сошлюсь на некий документ, Это понятно. Кстати спасибо за ссылку, интересно почитать. Но тем не менее в данном случае господа законотворцы делают как обычно что то не то.находящийся вот здесь, где того термина, что приводите Вы нет, а мой - есть - http://asozd.duma.gov.ru/intranet/kom23.nsf/I/1A547CC124B60403C3256F96002E6322?OpenDocument Цитировать Мне это известно и оно (карточка RSA) у меня есть. Но писать об этом здесь мне показалось неуместным. Вся инструкция направлена на то, чтобы объяснить, как сделать это БЕЗ покупки чего-либо аппаратного, БЕЗ установки платного или бесплатного глючного софта, БЕЗ оплаты самого сертификата. Согласен, это одна из онсновных вещей, о кторой вы писали. НО это приводит к тому, что:1. Пользователь привязан к компьютеру, где установлен сертификат. 2. Хранение ключей в реестре операционной системы РЕЗКО снижает степень их защищенности. "глючный софт"? я так понимаю у вас бывают проблемы при использовании вашей карточки? или я не прав? еслид а поделитесь что за карточка и что за проблемы, если не трудно. Цитировать на первое - Что именно человек выбирает на этом этапе зависит от того, что ему будет предложено. В некоторых случаях в появляющемся ниспадающем меню могут появиться алгоритмы DES или (даже!) ГОСТ. Предложен ему будет список криптопровайдеров, установленных на его компьютере. Помимо тех что вы описали в инструкции там есть еще Micosoft Strong, Shlumberge и т.д. Если он устил себе например КриптоПро CSP то может быть еще одна опция CryptoPro CSP Cryptographic Service Provider - как раз тот самый ГОСТ. Но только вот DES ему вы уж извините никто не предложит - DEs это симметричный алгоритм шифрования и в схеме ЭУП никогда не использовался да и не может в принципе :)Остальные замечания и кое какие мыли об этих двух сертификатах я постараюсь изложить, но будет это видимо не раньше 5, 6 числа. меня не будет в сети некоторое время. Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Dmitry от 04 Марта 2005, 13:12:12 Немножко offtopic, так как не связано непосредственно с ЭЦП, но, IMHO, применение указанных криптосредств стало вполне легальным в России после принятия Постановления Правительства РФ от 23.09.2002 N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".
Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: ИгорьГ от 04 Марта 2005, 16:23:29 Цитировать Немножко offtopic, так как не связано непосредственно с ЭЦП, но, IMHO, применение указанных криптосредств стало вполне легальным в России после принятия Постановления Правительства РФ от 23.09.2002 N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами". Это постановление освобождает от лицензирования некоторых видов деятельности. Но, во-первых, выдача сертификата к этим видам не относится, а, во-вторых, постановление Правительства не может противоречить Закону. Законом об о лицензировании отдельных видов деятельности установлены критерии, по которым определяются те виды, которые должны лицензироваться (ст. 4), установлено, что может делать правительство в области лицензирования (определять порядок и назначать орган - ст. 5), дан перечень видов деятельности, для занятия которыми требуется лицензия. К этим видам отнесена и "деятельность по выдаче сертификатов ключей электронных цифровых подписей" (ст. 17). При этом не указано, что это требование распространяется лишь на некоторых получателей таких сертификатов . А из ранее сказанного следует, что Правительство не вправе устанавливать лицензирование для дополнительных видов деятельности, а из статьи 4 и 5 - что оно же не вправе освобождать от этого. Игорь Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Dmitry от 04 Марта 2005, 17:03:27 Но, во-первых, использование сертификата к этим видам не относится, Цитировать а, во-вторых, постановление Правительства не может противоречить Закону. Не вижу противоречия, Правительство в рамках своей компетенции определило порядок лицензирования различных средств шифрования, при этом определило, что для ряда средств, не требующих специальных мер контроля, лицензирование не требуется.Из ваших дальнейших пояснений мне кажется, мы просто друг друга не поняли, я говорил не о самом ЭЦП и сертификатах, а только о самих криптографических средствах, которые используются также и для других целей. Кстати, когда вы по отношению к ЭЦП употребляете термины "незаконно", "противоправно", боюсь учитывая целевую аудиторию вашей инструкции это может быть неправильно истолковано. Обыватель будет чувствать сябя чуть-ли не преступником, за которым вот-вот явятся, поймают за этим постыдным занятием и упекут в кутузку. На самом деле, ИМХО, в правовом смысле пользование таким сертификатом приведет только к одному - в России сделанная с его помощью подпись под документом не будет признана эквивалентной собственноручной подписи. Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Yeoman от 07 Марта 2005, 11:53:41 один момент господа, чтобы внести ясность - согласно закона о лицензировании, использование СКЗИ лицензии не требует. Но именно использование.
Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Yeoman от 07 Марта 2005, 12:03:41 Как и обещал замечание по третьей части:
"Получается, что MS Word использует его для подписания файлов, несмотря на то, что сертификат не предназначен для этого. Так поступает не только MS Word. Опасность таких применений заключается в том, что, если, к примеру, появятся программы, осуществляющие платежи по сети Интернет, которые будут основываться на таком сертификате, то явное несоответствие степени надежности сертификата и величины риска может спровоцировать дискредитацию сертификата. " Тут ситуация проста, ключи и сертификат должны использоваться только для тех целей, для которых выдан сертификат. В противом случае это компрометация. И без никаких других вариантов. Кстати в нормальной пррактике корпоративных систем на один сертификат не "вешают" подпись и шифрование это делается по одной простой причине - одна ключевая пара и сертификат к ней используется для подписи, а вторая для шифрования. Вторая хранится защищенным образом где то, например в УЦ, а первый таких резервных копий не имеет. В слуаче если что , сертификат для подписи можно издат ьзаново, а если вы потеряли сертификат и ключи для шифрования, то чтобы прочесть зашифрованную почту его можно восстановить в УЦ. Но это так маленькое лирическое отступление. Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: ИгорьГ от 24 Марта 2005, 18:42:15 Выложил новую версию этой же инструкции.
Замечания поправил. На всякий случай дублирую ссылку еще раз http://www.glinka.ru/WOT/KnowHow/ (http://www.glinka.ru/WOT/KnowHow/) Игорь Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Yeoman от 25 Марта 2005, 10:20:46 Выложил новую версию этой же инструкции. Посмотрим. :)Замечания поправил. На всякий случай дублирую ссылку еще раз http://www.glinka.ru/WOT/KnowHow/ (http://www.glinka.ru/WOT/KnowHow/) Игорь Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: SATtva от 23 Октября 2005, 20:48:55 Полагаю не менее интересным вопрос о подтверждении личности в Сети доверия Thawte и получении именного сертификата. Был ли у кого-нибудь подобный опыт?
Особенно интересует практика подтверждения посредством доверенных третьих лиц (TTP (https://www.thawte.com/cgi/personal/wot/ttp.instruct.exe)). Согласно правилам Thawte, таковыми считаются руководители банковских отделений (bank managers), сертифицированные бухгалтера (CPA) практикующие адвокаты (practicing attorneys). Вместе с тем, насколько российская специфика согласуется с заявленными требованиями? Так, адвокат должен быть действительным членом национальной коллегии адвокатов. Подходят ли под это региональная или местная (городская) коллегии? Эквивалент certified public accountant в России мне вообще неизвестен. Какие будут соображения у участников форума? Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Yeoman от 07 Декабря 2005, 00:49:06 Полагаю не менее интересным вопрос о подтверждении личности в Сети доверия Thawte и получении именного сертификата. Был ли у кого-нибудь подобный опыт? Опыт есть. Если выобратили внимание, Игорь Глинка, опублиовавший инструкцию является нотариусом Thawte. С некоторых пор я тоже :) Собственно ничего сверхестественного в этом нет. Все просто и прозаично. Делаете ксерокопию паспорта и еще одного документа, удостоверяющего вашу личность, а лучше не одну. Выбираете нотариусов - их список на сайте thawte и договариваетесь о встречах (face-to-face meeting required). Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: SATtva от 08 Декабря 2005, 13:30:08 Всё-таки меня более предметно интересовала специфика TTP (за пределами Москвы это зачастую остаётся единственным способом подтверждения -- сами взгляните в листинг нотариусов Thawte).
Впрочем, с момента постановки вопроса ответ уже получен и непосредственно из Thawte. Что касается статуса коллегии, в которой должен быть зарегистрирован адвокат, это не имеет значения. Важно только, чтобы он был зарегистрирован. Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: Yeoman от 08 Декабря 2005, 13:41:08 Всё-таки меня более предметно интересовала специфика TTP (за пределами Москвы это зачастую остаётся единственным способом подтверждения -- сами взгляните в листинг нотариусов Thawte). согласен это проблема существует даже для Питера, как показала практика.Цитировать Впрочем, с момента постановки вопроса ответ уже получен и непосредственно из Thawte. Что касается статуса коллегии, в которой должен быть зарегистрирован адвокат, это не имеет значения. Важно только, чтобы он был зарегистрирован. меня на самом деле здесь заинтересовал не адвокат, а банковский менеджер. Я попытался переложить это на нашу действительно и не нашел подходящего :) Если только управляющий филиалом. Но поробуйте обратится к управляющему с таким вопросом - глаза по 5 рублей будут обеспечены :)Название: Re:Инструкция по получению сертификата ЭЦП от Thawte (по-русски) Отправлено: SATtva от 23 Ноября 2006, 19:20:29 Цитировать меня на самом деле здесь заинтересовал не адвокат, а банковский менеджер. Я попытался переложить это на нашу действительно и не нашел подходящего Если только управляющий филиалом. Да, именно управляющий. К слову, реагируют совершенно нормально. Причём в моём случае согласились на участие в процедуре на безвозмездной основе. |